✔ Dos de los conceptos más fundamentales del RGPD y LOPDGDD son el de responsable y encargado del tratamiento y sus funciones. Estos conceptos han sido objeto de una elaboración detallada en las directrices finalizadas recientemente publicadas de la Junta Europea de Protección de Datos (‘EDPB’) y a continuación estableceremos algunas conclusiones.
En primer lugar, hay que tener claro que la asignación de los roles surge de un análisis de los elementos fácticos o circunstancias del caso y, como tal, no es negociable ni existen parámetros estáticos para determinarlos. Por ejemplo, una unidad que es responsable de una determinada función no se convierte por sí misma en responsable, incluso si esa unidad actúa con considerable independencia. Asimismo, es posible que en un ‘nivel micro’ diferentes operaciones de tratamiento de la cadena aparezcan como desconectadas, ya que cada una de ellas puede tener un propósito diferente. Sin embargo, es necesario realizar un análisis a “nivel macro” de estas operaciones y determinar si en conjunto persiguen un propósito común utilizando medios definidos conjuntamente.
La misma entidad puede actuar al mismo tiempo como responsable del tratamiento para determinadas operaciones de tratamiento y como encargado del tratamiento para otras, y la calificación como responsable o encargado del tratamiento debe evaluarse con respecto a conjuntos específicos de datos u operaciones.
El responsable debe evaluar que el encargado proporcione las garantías suficientes para el tratamiento de los datos que hará a su cargo y esto es una forma de evaluación de riesgos , que dependerá en gran medida del tipo de tratamiento confiado al encargado y debe realizarse caso por caso, teniendo en cuenta la naturaleza, alcance, contexto y finalidades del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas. Como consecuencia, el EDPB no puede proporcionar una lista exhaustiva de los documentos o acciones que el encargado debe mostrar o demostrar en un escenario dado, ya que esto depende en gran medida de las circunstancias específicas del tratamiento.
Como es sabido, conforme el artículo del RGPD es necesario firmar un contrato entre las partes que debe abordar una lista de puntos que rija la relación entre responsables y encargados. Sin embargo, esto no exime que exista espacio para negociaciones entre las partes de dichos contratos. En algunas situaciones, un responsable o un encargado puede tener un poder de negociación más débil para personalizar el acuerdo de protección de datos. La confianza en las cláusulas contractuales estándar adoptadas de conformidad con el artículo 28 (apartados 7 y 8) puede contribuir a reequilibrar las posiciones de negociación y garantizar que los contratos respeten el RGPD. Dependiendo de las características específicas del tratamiento encomendado al encargado, puede ser apropiado que las partes incluyan en el contrato un período de tiempo específico para realizar notificaciones, la modalidad y el contenido mínimo esperado, así como al punto de contacto de ambas partes.
Algunas instrucciones que se pueden establecer:
-
- Es posible que el encargado del tratamiento sugiera elementos que, si son aceptados por el responsable del tratamiento, pasan a formar parte de las instrucciones dadas.
- Las partes deben negociar y acordar en el contrato las consecuencias de la notificación de una instrucción infractora enviada por el encargado y en caso de inacción del responsable en este contexto. Un ejemplo sería insertar una cláusula sobre la rescisión del contrato si el responsable del tratamiento persiste con una instrucción ilegal. Otro ejemplo sería una cláusula sobre la posibilidad de que el encargado suspenda la implementación de la instrucción afectada hasta que el responsable confirme, modifique o retire su instrucción.
Asimismo, para la realización de auditorías.
-
- El encargado puede sugerir la elección de un auditor específico, pero la decisión final debe dejarse al responsable de acuerdo con el artículo 28 (3) (h) del RGPD. Además, incluso cuando la inspección la realiza un auditor propuesto por el encargado, el responsable se reserva el derecho de impugnar el alcance, la metodología y los resultados de la inspección.
- Las partes deben cooperar de buena fe y evaluar si y cuándo es necesario realizar auditorías en las instalaciones del encargado, así como qué tipo de auditoría o inspección (remota / in situ) sería necesaria y apropiada en el caso específico, teniendo en consideración las preocupaciones de seguridad. La elección final la tomará el responsable del tratamiento. Con el informe de auditoría, el responsable del tratamiento debería poder solicitar al encargado del tratamiento que adopte medidas posteriores, por ejemplo, para subsanar las deficiencias y lagunas identificadas.
- Las partes no deben insertar cláusulas en el contrato que prevean el pago de costes o tasas que resulten claramente desproporcionadas o excesivas, que puedan tener efecto disuasorio sobre una de las partes. Es cierto que el tema de la asignación de costos entre un responsable y un encargado en relación con las auditorías no está cubierto por el RGPD. No obstante, el artículo 28 (3) (h) requiere que el contrato incluya una obligación para el encargado para poner a disposición toda la información necesaria para el responsable y la obligación de permitir y contribuir a las auditorías, incluidas las inspecciones, realizadas por el responsable u otro auditor encomendado por el responsable.
En la próxima edición continuaremos analizando las directrices que son de gran utilidad para el trabajo diario y la regulación entre responsables y encargados del tratamiento.